Die Erfahrung aus der Praxis zeigt immer wieder, wie wichtig es ist seine Dienstleister regelmäßig zu überprüfen. Rein kommerzielle und Effizienz-Erwägungen stehen aus Datenschutzsicht da natürlich nicht im Mittelpunkt der Betrachtung. Verstöße gegen den Datenschutz können aber mittelbar sehr wohl auch finanziell erhebliche Auswirkungen haben, denn eine rechtswidrige Datenverarbeitung kann Schadenersatzansprüche der Betroffenen zu Folge haben (die sich aufsummieren können) und dem Image des Unternehmens aufgrund von Veröffentlichungspflichten erheblich Schaden. Im schlimmsten Fall kann es sogar erforderlich sein, dass die Aufsichtsbehörde einzuschalten ist (Art. 34 DSGVO: Meldepflichten bei Datenpannen) oder Betroffene die Aufsichsbehörde von sich aus informieren und nervenaufreibende und ggf. allein durch die anwaltliche Betreuung kostenspielige Bußgeldverfahren eingeleitet werden. Auch hier kann neben einem Bußgeld, aufgrund der Veröffentlichung der Bußgeldverfahren durch die Aufsichtsbehörde, ein erheblicher Imageschaden für das Unternehmen die Folge sein.
Keine Unternehmensleitung möchte sicherlich für derartige Folgen die Verantwortung übernehmen müssen. Mit einem effektiven Datenschutz-Complliance-System kann dieses Risiko sinnvoll eingegrenzt werden. Bei der Betrachtung der Datenschutzmaßnahmen kommt man dann auch sehr schnell zu der Einsicht, dass Kontrollen der Einhaltung des Datenschutzes, neben anderen Maßnahmen, praktisch unvermeidbar sind.
Warum ist gerade die Kontrolle von Dienstleister ein wichtiger Baustein?
In rechtlicher Hinsicht sieht es so aus. Aus Art. 28 Abs. 3 lit. c) i.V.m. Art. 32 Abs. 1 DSGVO ergibt sich, dass Verantwortlicher und Auftragsverarbeiter gemeinsam geeignete technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen zu treffen haben. Dies ist nach Art. 28 Abs. 3 DSGVO vertraglich mit dem Dienstleister zu regeln. Nach Art. 28 Abs. 1 DSGVO darf eine Verarbeitung im Auftrag generell nur erfolgen, wenn der Auftragsverarbeiter „hinreichenden Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet„.
Auch die Regelungen des Art. 25 Abs. 1 DSGVO sind in diesem Zusammenhang relvant, danach „trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.„
Neben den eigenen Rechenschaftspflichten des Verantwortlichen aus der DSGVO (vgl Art. 5 Abs. 2 DSGVO) erstrecken sich diese Pflcihten aufgrund der genannten Vorschriften auch auf die Handlungen eines Auftragsverarbeiters. Das dies auch Aufsichtsbehörden so sehen, habe ich an verschiedenen Bußgeldfällen bereits hier ausgeführt.
Man kann also nur empfehlen seine Dienstleister in regelmäßigen Abständen auf dies Einhaltung des Datenschutzes zu kontrollieren und dies geeignet zu dokumentieren. Für blindes Vertrauen gibt es im Geschäftsleben keinen Anlass und keine Rechtfertigung. Nach Art. 82 Abs. 1 DSGVO haften Auftraggeber und Auftragsverarbeiter zunächst einmal gemeinsam für evtl . Datenschutzverstöße.
